บริษัท Intevydis เป็นบริษัทวิจัยช่องโหว่ของซอฟต์แวร์จากรัสเซีย ระบุว่าบริษัทกำลังเตรียมเผยแพร่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข้จำนวนมากภายในเดือนนี้เนื่องจากหมดความอดทนที่จะทำงานร่วมกับผู้ผลิตแล้ว
โดยปรกติแล้วหลักจริยธรรมของนักวิจัยด้านความปลอดภัยทั่วโลกจะให้โอกาสผู้ผลิตในการแก้ไขช่องโหว่ก่อนที่เปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ ทำให้ช่องโหว่ที่ถูกโจมตีมักเป็นเพราะลูกค้าไม่ได้อัพเดตซอฟต์แวร์อย่างถูกต้อง
Evgeny Legerov ผู้ก่อตั้งบริษัท Intevydis ระบุว่าการรอผู้ผลิตแก้ไขนั้นเสียเวลามาก และผู้ผลิตไม่ได้ใส่ใจที่จะแก้ไขบั๊กที่ไม่ได้รับการเปิดเผยเหล่านี้ เช่น บั๊กของ RealPlayer ตัวหนึ่งที่บริษัทค้นพบตั้งแต่สองปีก่อน ยังไม่ได้รับการแก้ไขแม้จะมีการติดต่อแจ้งไปแล้ว
ซอฟต์แวร์ที่อยู่ในรายชื่อของ Intevydis มีดังนี้
- เว็บเซิร์ฟเวอร์: Zeus Web Server, Sun Web Server
- ฐานข้อมูล: MySQL, IBM DB2,Lotus Domino, Informix
- ไดเรกทอรี: Novell eDirectory, Sun Directory, Tivoli Directory
เราๆ ท่านๆ อาจจะรออ่านด้วยใจจดจ่อ แต่งานนี้ผู้ดูแลระบบตามบริษัทอาจจะเครียดกันหนักทีเดียว
ที่มา - Krebs on Security
Comments
Sun โดนทุกดอกเลยแฮะ
+1
แอบสะใจ
My Blog
แปลกแฮะ เพราะความจริงของฟรี นี่มักจะสุดยอด แท้ๆ
http://tomazzu.exteen.com
ของฟรี นี่มักจะสุดยอด <- แต่ทำไมของขายถึงยังขายได้ล่ะถ้าเป็นแบบนั้น
<@mOkin>Every thing that has a beginning has an end.<mOkin/>
Zero Day โผล่เพียบละซิงานนี้ บริษัทไหน Security ไม่รัดกุมเพียงพอ เจาะยาวได้ไปถึง root ปุ๊ป เป็นเรื่อง..
ecution.style
Novell eDirectory ติด list ไปกลับเขาด้วยหรือ ก็เห็นมี path ออกมาเรื่อยๆ อยู่นะ
งานเข้า ๆ ๆ
...
RealPlayer ยังมีคนใช้อยู่อีกหรือนี้ .... นึกว่าไป Youtube กันหมดแล้ว
บางคนลง Real ไว้แค่เพื่อโหลด video จาก youtube - -
"Microsoft is doing a terrific job of pissing off it's existing customer base to chase the sliver that is the tablet market." - William Topping
หง่ะมี MySQL ด้วย ตัวหากินโผมมม
I will change the world, to the better day.
เฮือก... ทั้ง MySQL ทั้ง DB2 เลยวุ้ย =[]=
เอ่อ ถ้าดูจากในลิสต์นี่ งานเข้ากันเยอะนะครับ ทั้ง IBM, Oracle, Sun, Novell
http://intevydis.com/vd-list.shtml
แต่อ่าน blog เค้าก็เขียนประชดนะ คือบริษัทใหญ่ๆบางรายเมล์มาขอรายละเอียด+code ตัวอย่างในการ exploit เค้าก็ให้ความเห็นว่า เราเป็นบริษัทเล็กๆ ทำบริการด้านนี้ คุณบริษัทใหญ่ๆขายของมีบั๊กเป็นล้านทั่วโลก จะมาขอข้อมูลที่เราลงแรงขุดขึ้นมาฟรีๆง่ายๆได้อย่างไร
ถูกก :)
แหะๆ
เห็นด้วย ข้อมูลพวกนี้จริงๆ ควรซื้อเอา เพราะไม่ใช่งานง่ายๆ ขนาดตัวคนเขียนเองยังไม่รู้หลังบ้านตัวเองเลย ว่ามีอะไรบ้าง
แสดงว่ากะจะใช้เป็นหนทางทำกินสินะครับเนี่ย
เหมือน Black Mail นิดหน่อยแฮะ ขู่ว่า ถ้าไม่รีบแก้บั๊กที่เราค้นพบ (ซึ่งเราไม่ให้ข้อมูลนะ ไปหาเอาเอง) เราจะปล่อยรายชื่อบั๊กออกมา (แล้วเราอาจจะปล่อยข้อมูลแนบออกไปด้วย หรือเปล่านะ ~) ถ้าคุณโดนเจาะเราก็ไม่รับรู้ ~
ใช่ครับ เค้าทำ software สำหรับทดสอบ/เจาะระบบ โดยเฉพาะขายครับ
ผมคิดว่า เค้าคงคิดว่าจะทำอย่างไรให้คนรู้ว่าผลิตภัณฑ์ตัวเองมันเวิร์ก เลยเอาซอฟท์แวร์ชื่อดังในตลาดมาลองว่าเฮ้ย ทูลกระผมมันเจ๋งนะ เจอรูโหว่แบบเจ้าของมันยังไม่รู้ตัวเลย อะไรอย่างงี้อ่ะ
พูดง่ายๆ ขู่กรรโชก เพราะเบ่งกินฟรี ไม่ยอมแก้ไขบั๊ก แล้วยังไม่ยอมจ่ายเงินซื้อข้อมูลว่างั้น
\(@^_^@)/ my Google+ M R T O M Y U M
+1 เหมือนอย่างกับจับตัวประกันไว้ ถ้าไม่จ่ายเงินมาจะยิงทิ้งให้หมด
@mamuang mng.name
นั่นสิ อ่านคอมเมนต์หลังๆ รู้สึกเหมือนอารมณ์นี้เลย แต่มันก็ว่าไม่ได้นะ บางอันบอกมานานแล้วจริงๆ = =
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
อืม… แอบมีปาดเหงื่อบ้างแฮะ หวังว่าเว็บเล็กๆ นอกสายตา จะอยู่รอดปลอดภัยนะ เพี้ยง ^^'a
~ จุดยืนของทุกคนคือส้นเท้า : HudchewMan's Diary | TH LG Optimus Black ~
"การตรวจหาช่องโหว่" ก็คือการทดลองเจาะระบบ ไม่ใช่หรือครับ ถ้าเจาะได้ก็แสดงว่าโหว่อยู่ ถ้าเป็นเช่นนั้นแล้ว บริษัทนี้ที่ออกมาทำเช่นนี้ ก็เหมือนกับทิ้งบท "นักวิจัยช่องโหว่" มารับบท "แฮกเกอร์" แทนไม่ใช่หรือครับ ? มีการขู่ด้วยอะไรด้วย
แต่ผมเห็นด้วยนะ ฮา ๆ